阿里云AccessKey泄露以及nacos1.4.2漏洞修复

起因:每隔一段时间阿里云就会报AccessKey泄露了,但是并没有在代码中写AccessKey,后来发现在nacos中多了个新用户,是之前没有添加过的

排查:

1.检查是否开启了鉴权

查看配置文件application.properties

复制代码
# 是否开启授权
nacos.core.auth.enabled=true

开启授权为true,无需修改,排除

2.检查是否使用默认的token.secret.key

复制代码
# 默认访问密钥
nacos.core.auth.default.token.secret.key={需要修改}

也已经修改了(默认值为:SecretKey012345678901234567890123456789012345678901234567890123456789),且使用了默认值构造JWT来调用接口/nacos/v1/auth/users?pageNo=1&pageSize=9,调用失败,证明也不是这个默认值的问题,排除

3.检查是否因为请求头添加了参数User-Agent: Nacos-Server

报权限错误,排除

4.真正原因,默认的serverIdentity和security

就没有修改或者配置这两个值,导致可以使用这两个值来进行新增用户的调用

复制代码
# 这两个值就是个serverIdentity和security,如果没有配置,其默认值也是serverIdentity和security
nacos.core.auth.server.identity.key=serverIdentity
nacos.core.auth.server.identity.value=security

尝试调用:

获取用户:调用成功

新增用户:成功

解决方法:设置这两个配置的值,不使用默认值

复制代码
nacos.core.auth.server.identity.key={新的值}
nacos.core.auth.server.identity.value={新的值}

设置了新的值之后:新增用户失败了

至此,解决了

相关推荐
UI设计和前端开发从业者2 小时前
UI前端大数据处理策略优化:基于云计算的数据存储与计算
前端·ui·云计算
我是小bā吖4 小时前
阿里云服务网格ASM实践
网络·阿里云·云计算·服务发现
保持学习ing6 小时前
苍穹外卖day3--公共字段填充+新增菜品
java·阿里云·实战·springboot·前后端·外卖项目·阿里云文件存储
长征coder7 小时前
AWS MySQL 读写分离配置指南
mysql·云计算·aws
Johny_Zhao9 小时前
Docker 一键安装部署 JumpServer 堡垒机
linux·网络安全·信息安全·云计算·shell·jumpserver·ldap·yum源·系统运维
热爱生活的猴子15 小时前
阿里云服务器正确配置 Docker 国内镜像的方法
服务器·阿里云·docker
艾伦_耶格宇18 小时前
【ACP】阿里云云计算高级运维工程师--ACP
运维·阿里云·云计算
Johny_Zhao21 小时前
Ubuntu系统安装部署Pandawiki智能知识库
linux·mysql·网络安全·信息安全·云计算·shell·yum源·系统运维·itsm·pandawiki
云资源服务商1 天前
阿里云Flink:开启大数据实时处理新时代
大数据·阿里云·云计算
数据与人工智能律师1 天前
数字资产革命中的信任之锚:RWA法律架构的隐形密码
大数据·网络·人工智能·云计算·区块链